Auteur Sujet: RGPD (Règlement Général sur la Protection des Données) c'est parti ! (Lu 8931 fois)

vivien · « **le:** 25 mai 2018 à 07:32:49 »

RGPD (Règlement Général sur la Protection des Données) c'est parti !

Ce 25 mai entre en application le Règlement Général sur la Protection des Données (RGPD). C'est un standard de protection élevé, face aux dérives observées par certains sites ou applications.

Que vous soyez particulier ou professionnel, cette nouvelle réglementation vous permet d'exercer un plus grand contrôle sur vos données: Cela inclut plus de transparence (pouvoir consulter à tout moment ses données, fournir des informations sur les données recueillies et la façon dont elles sont utilisées), la possibilité de retirer son consentement, le droit à la rectification, le droit à la portabilité et le droit à l'oubli. Et si vous êtes une entité (entreprise, association, organisme public, etc.), elle vous impose de mettre en place des mesures techniques et organisationnelles afin de garantir la sécurité et le bon usage des données clients que vous manipulez.

(infographie réalisée par Eulerian Technologies)

Vous avez du recevoir de nombreux mails ces dernières semaines de services que vous avez oubliés, qui vous demandent votre accord pour exploiter vos données personnelles, vu qu'il faut maintenant votre accord explicite. Certains comme twitter ou facebook nécessite de répondre a des questions lors de la connexion pour continuer à utiliser le service. Pour Windows 10, c'est lors de la migration vers Windows 10 version 1803 que les questions sont posées. Contrairement a ce qui se faisait dans la passé, il n'est plus possible de passer rapidement la page et de tout accepter : il est nécessaire de répondre aux questions pour continuer.

De nombreux sites ont mis à jour leur "politique de protection des données personnelles", leur "politique de confidentialité", leur "conditions générales", leur "conditions d’utilisation" ,leur "mentions légales", leur "déclaration de confidentialité" ou leur "convention d'adhésion"...

Certains sites vous sont inconnus, j'ai par exemple été étonné de recevoir un mail de western digital pour la mise en conformité RGPD : J'avais du retourner un disque dur HS sous garantie il y a quelques années.

Le RGPD concerne tous sites accessibles aux européens. Une entreprise installée loin de l’Union est également impactée par ces obligations puisque les critères de territorialité sont très vastes. Les entreprises qui ne respecteraient pas le RGPD seront passibles d'amendes allant jusqu'à 4% de leur chiffre d'affaires annuel global ou atteindre les 20 millions d'€, le plus élevé de ces montants étant retenu.

En France, 19 décrets d’application sont en retard: faute de texte, c’est le RGPD européen qui s’applique sans nuance.

Mounir Mahjoubi, Secrétaire d'État au Numérique nous explique le RGPD :

Et LaFibre.info ?

J'ai mis à jour la page Mentions légales LaFibre.info le 9 mai 2018. Le texte n'est pas encore définitif, il y a des formulations a améliorer des choses oubliées, d'autres à détailler.

https://LaFibre.info n'est pas assujetti à la désignation d'un délégué à la protection des données. Le site n'utilise pas de tracking type Google Analytics ou de boutons Facebook / Twitter, pas de tracking publicitaire vu qu'il n'y a pas de publicité,... c'est plus limité que pour d'autres sites. Bien entendu, aucune information personnelle n’est collectée à votre insu, aucune information personnelle n’est cédée à des tiers et aucune information personnelle n’est utilisée à des fins non prévues.

Dans les changement effectués pour le RGPD, il y a la suppression automatique des informations personnelles (mail, préférence du site, messages privés) après un délai de 10 ans sans connexion. Il me semble en effet qu'il n'est pas possible de conserver sans limite de durée ces informations. Conséquence : les profils des personnes qui ne se sont pas connectés depuis 10 ans sur le forum sont supprimés. Les messages postés restent : ils passent en "invité" (plus de détails dans les mentions légales)

Le délai de 10 ans avant suppression automatique du compte est un choix de ma part pour essayer de respecter une proportionnalité, car la loi ne fixant pas de limite fixe : c'est a chaque site de fixer la limite en fonction de son besoin. Par contre des données personnelles ne peuvent pas être gardé sans limite de durée.

Je ne pense pas être complétement en phase avec tous les articles du RGPD, n'hésitez pas a me signaler des point à améliorer. L'adresse IP utilisée pour chaque message posté est archivée tant que le message existe, je pense que c'est moyennement compatible RGPD, mais SMF ne propose pas encore de solution simple pour supprimer les IP. Note: Archiver les IP est une obligation légale, au moins pendant un an.

vivien · « **Réponse #1 le:** 25 mai 2018 à 07:33:44 »

Des dizaines de sites ferment, faute de conformité avec le RGPD :

Certains sites se mettent à jour, mais d'autres décident de fermer :

- Le service anti-spam Unroll.me admet revendre les données personnelles de ses utilisateurs et bloque les utilisateurs qui se déclarent européen depuis aujourd'hui. C'est déclaratif, il suffit de dire que l'on n'est pas européen pour accéder au service : https://unroll.me/ (a priori cela ne serait pas conforme au RGPD)

Si vous cliquez sur Yes, vous avez le message "Unfortunately, Unroll.Me is temporarily unavailable in the EU and EAA."

- Le service de sauvegarde d'articles Instapaper vient lui aussi de fermer pour les Européens, le temps de se conformer au texte, mais là il n'est pas possible d'y accéder depuis une IP européenne, un VPN est nécessaire.

- Le jeu de combat en arène développé par Uber Entertainment "Super Monday Night Combat" a fermé ses portes le 23 mai. Se conformer au règlement serait trop coûteux.

- Le service Tunngle, qui permettait de simuler un réseau local sur Internet pour les jeux le réclamant pour le multijoueur, a mis la clé sous la porte le 30 avril. Le coût d'adaptation au règlement est aussi invoqué.

- Parity, une entreprise spécialisée dans les crypto-monnaies, coupe aujourd'hui son service Picops, destiné à garantir l'identité des possesseurs de portefeuilles Ethereum.

vivien · « **Réponse #2 le:** 25 mai 2018 à 07:34:15 »

NextINpact a noté d'autre cas de fermeture de site :
- Apple a récemment retiré certaines applications de l'AppStore, dont celles de médias français, pour l'intégration de Teemo, un outil de géolocalisation des mobinautes. Il est reproché à Teemo une collecte sans consentement, pour des motifs inappropriés.

- Drawbridge, spécialiste du tracking d'un internaute sur plusieurs terminaux, coupe aussi son activité européenne. Il n'est pas possible d'obtenir le consentement explicite de chaque internaute pour son tracking, vu que son service ne leur apparaît jamais.

- L'éditeur de jeux en ligne Gravity Playground (exemple Ragnarok Online) annonce : « Tous les comptes enregistrés depuis l'Europe seront désactivés le 25 mai. Tout accès depuis l'Europe sera interdit et nous n'accepterons plus d'utilisateurs européens sur notre service »

- Le jeu en ligne Loadout (neuf millions de joueurs), a fermé le 24 mai : « Nous protégeons toujours votre vie privée, et nous ne voulons rien d'autre. Nous n'avons simplement pas les moyens de remanier Loadout et implèmenter de nouvelles fonctions pour répondre à la longue liste de nouvelles obligations »

- Le site de statistiques Steam Spy a fermé: depuis la mi-avril, Valve a passé l'ensemble des profils de ses membres en privé par défaut, le privant de ces précieuses données.

- Verve (spécialiste de la géolocalisation) a fermé ses bureaux à Londres et Munich. « Nous avons déterminé que la régulation n'est pas favorable à notre modèle économique spécifique »

NextINpact a également réalisé un analyse complète du Règlement Général sur la Protection des Données : (ces analyses sont accessibles gratuitement à tous)
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)

Un beau travail de Marc Rees, rédacteur en chef de Next INpact

De nombreux site disent appliquer le RGPD mais ne sont pas conforme...

Les sites sont tenus de lister les données à caractère personnel manipulées. Pour certains cela se résume a un paragraphe comme ceci :

site.fr traitera à cet égard les données à caractère personnel suivantes :
- Données d’identification
- Préférences

Les sites sont tenus d'expliquer la finalité de traitement des données à caractère personnel. Pour certains cela se résume a un paragraphe comme ceci :

Il existe 5 finalités essentielles :
1-Parce que site.fr a besoin de vos données à caractère personnel pour satisfaire à une obligation légale.
2-Parce que vos données à caractère personnel sont nécessaires pour conclure ou exécuter un contrat.
3-Parce que site.fr doit pouvoir continuer à fonctionner de manière optimale tout en respectant son engagement envers vous.
4-Parce que site.fr entend pouvoir vous fournir des informations commerciales.
5-Parce que le site et l’application doivent correspondre à vos préférences.

La Cnlil avait prévenue :

Vigilance - « Mise en conformité RGPD »

Ces derniers mois, la CNIL a publiquement dénoncé, à plusieurs reprises, les agissements de sociétés promettant de manière peu scrupuleuse une mise en conformité « clé en main » au RGPD. Leur technique : insister sur les sanctions financières encourues, se présenter comme «labellisées», «certifiées» ou «recommandées» par la CNIL et vous adresser une simple documentation ou vous proposer un échange a minima en guise d’accompagnement.

Dans cette dernière ligne droite avant l’entrée en application du règlement européen (le 25 mai), la CNIL appelle une nouvelle fois à la vigilance et rappelle que de tels démarchages ne se font pas à son initiative ou avec son soutien.

La mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous. Si le doute persiste, vous pouvez nous contacter au 01 53 73 22 22.

Pour vous aider dans votre mise en conformité au RGPD, la CNIL publie des contenus pratiques. Vous pouvez notamment consulter « RGPD : ce qui change pour les pros » ainsi que le nouveau « Guide de sensibilisation pour les petites et moyennes entreprises »

Source : CNIL

vivien · « **Réponse #3 le:** 25 mai 2018 à 08:17:11 »

Les Cookies et le RGPD : Possibilité de retirer son consentement

Le RGPD impacte aussi la politique relative aux cookies des sites.

Je reprend l'exemple de western digital : Connaissez-vous la liste des cookies que vous ne pouvez pas refuser pour un retour sous garantie ?

Nh3xus · « **Réponse #4 le:** 25 mai 2018 à 11:40:58 »

Citer

Pour Windows 10, c'est lors de la migration vers Windows 10 version 1803 que les questions sont posées. Contrairement a ce qui se faisait dans la passé, il n'est plus possible de passer rapidement la page et de tout accepter : il est nécessaire de répondre aux questions pour continuer.

Ces réglages, c'est un peu du placebo quand on sait que la seule version "à peu près" silencieuse est la version Enterprise...

vivien · « **Réponse #5 le:** 25 mai 2018 à 12:24:12 »

Et surtout, chose amusante, j'ai réalisé l'upgrade 1803 de mon Windows 10 S, celui qui est incapable d’exécuter une application Win 32 : L'upgrade se fait sans rien demander pour la mise en conformité RGPD.

J'ai comme l'impression que l’exécutable qui pose les questions a été bloqué par le mode S (car on bascule sur Windows 10 Pro avec le mode S activé)

kgersen · « **Réponse #6 le:** 25 mai 2018 à 12:25:29 »

Citation de: Nh3xus le 25 mai 2018 à 11:40:58

Ces réglages, c'est un peu du placebo quand on sait que la seule version "à peu près" silencieuse est la version Enterprise...

C'est trop tot. Vue l'omniprésence de Windows, je suis sur que les fanatiques du DGPR vont faire en sorte que tout soit dans les clous , je ne m’inquiète pas pour ca.

vivien · « **Réponse #7 le:** 26 mai 2018 à 10:05:48 »

Microsoft se sert du RGPD pour pousser la mise à jour Windows 10 1803 :

Copie d'écran d'un Windows 10 Pro 1709 :

La mise à jour proposée :

vivien · « **Réponse #8 le:** 26 mai 2018 à 10:50:09 »

Citation de: Nh3xus le 25 mai 2018 à 11:40:58

Ces réglages, c'est un peu du placebo

Voici les réglages proposés, comme vous pouvez le voir, il n'est pas possible de cliquer sur Accepter directement :
il faut avant cliquer sur une des deux options et cliquer sur une option n'est pas suffisant pour passer a la suite, il faut ensuite cliquer sur accepter, il y a deux deux clics à faire par écran, ce qui m'étonne, je pense qu'il était possible de faire une solution compatible RGPD avec moins de clics.

vivien · « **Réponse #9 le:** 26 mai 2018 à 10:50:41 »

vivien · « **Réponse #10 le:** 26 mai 2018 à 10:59:18 »

A la fin de la mise à jour, surprise, un raccourci vers Edge a été rajouté sur le bureau (c'est mieux que les précédentes mises à jour où Edge devenait le navigateur par défaut, alors qu'on avait changé ce paramètre avant la mise à jour)

C'est presque triste pour Microsoft, de voir que malgré tout ses efforts pour imposer son navigateur, il a une part de marché minime...

vivien · « **Réponse #11 le:** 27 mai 2018 à 13:41:43 »

Le RGPD impacte aussi les RH...

Votre département RH est-il prêt pour le RGPD ?

Le règlement général sur la protection des données (RGPD) entre en vigueur aujourd'hui et avec lui, une multitude de règles sur la manière dont les entreprises collectent, traitent, stockent, protègent et suppriment les données. Ces règles s'appliquent à toute entreprise qui traite les données de ressortissants de l'Union européenne, et le non-respect de ces règles exposera l'entreprise à des amendes pouvant atteindre jusqu'à 4 % de son chiffre d'affaires annuel mondial.

Dans le cadre du RGPD, les droits de la personne et les obligations des responsables du contrôle et du traitement des données à caractère personnel ont été renforcés afin de mieux protéger la vie privée des individus. Dans le genre, le secteur des ressources humaines fera l’objet d’une attention particulière.

Voici quatre pratiques du RH impactées par le RGPD :

Le consentement

Si les professionnels des ressources humaines ont toujours exigé le consentement des postulants ou des salariés pour recueillir leurs données personnelles, la définition du consentement change. Désormais, il doit être « précis, éclairé et sans ambiguïté ». Par ailleurs, la qualité de donnée personnelle a été élargie et inclut désormais des informations comme les adresses IP ainsi que les coordonnées bancaires, numéros de téléphone, etc. Une transparence totale est exigée sur le type de données détenues et leur finalité. De même que la façon dont ces données ont été obtenues et la base légale sur laquelle cette collecte a été effectuée. Notamment : Est-ce que cette collecte entre dans la catégorie des intérêts légitimes ? Le traitement des données est-il nécessaire à l'exécution d'un contrat dans lequel l'intéressé est partie prenante ?

La personne concernée a également le droit de demander l'accès à toutes les informations détenues par l'entreprise la concernant. Une fois la demande effectuée, l’entreprise doit fournir ces informations sans frais, dans un délai de 30 jours. Le postulant a également le droit de révoquer son consentement à tout moment et de demander à l'entreprise de ne plus détenir et de supprimer tout renseignement personnel. Cela signifie que les recruteurs doivent tenir à jour un registre des consentements et des activités de traitement des données. Ils doivent également être en mesure d'expliquer pourquoi certaines données sont collectées et conservées et prouver que ces informations sont utilisées conformèment à l'usage auquel elles sont destinées. Par exemple, si un candidat envoie son CV par courrier électronique, son adresse mail ne peut pas servir à des campagnes de marketing ou de vente. En termes de conformité, la charge de la preuve incombe aux responsables du contrôle et du traitement des données, si bien que les services RH doivent clairement définir le support, les conditions d'obtention des données et leur stockage.

L'information aux salariés

Les cyberattaques étant de plus en plus fréquentes et de plus en plus sophistiquées, le RGPD a également pour but de rendre les entreprises plus responsables en cas de vols de données. Toute violation de la sécurité ou de la vie privée doit être signalée aux parties concernées dans les 72 heures après la découverte de l'incident. Les départements RH doivent mettre en place des processus clairs pour identifier les violations et les signaler dans les délais prévus.

L'accès à ses données

L'un des éléments clés de la conformité au RDPP concerne la limitation de l’accès aux données personnelles des postulants ou des salariés à des personnes autorisées. Les équipes RH devraient rechercher des solutions pour assurer la sécurité ultime des données sensibles. Le chiffrement en est une. Le département RH peut aussi ajouter des procédures d'authentification rigoureuses, comme des mots de passe à trois niveaux de sécurité. Ces solutions limitent les possibilités d'attaques ou d'accès à l'information par négligence.

La suppression des données personnelles

Les services RH ne peuvent plus stocker indéfiniment les données personnelles. Il leur faut désormais un motif raisonnable et justifiable pour conserver ces données. Ils doivent mettre en place des politiques solides justifiant la conservation d’informations sur les candidats après que le poste pour lequel ils ont postulé a été pourvu. Ils doivent également réfléchir à la manière de communiquer cette information aux futurs salariés potentiels. Éventuellement, ces données peuvent être conservées en cas de nouvelle opportunité d’embauche. Un courriel expliquant la politique du recruteur et demandant le consentement de l’intéressé peut éviter des déconvenues.

Conformité avec des tiers

En tant que responsable du traitement des données, le département des ressources humaines peut également être tenu responsable des tiers qui traitent des données personnelles en son nom. Les professionnels des RH doivent faire l’inventaire des logiciels ou des plates-formes qu'ils utilisent et s'assurer qu'ils sont conformes au RGPD. Il est également important de noter qu'aucune plate-forme n’implique automatiquement que son utilisateur est conforme au règlement. Seules les politiques de l’utilisateur sont en mesure de garantir cette conformité. Par exemple, même si certains systèmes facilitent la gestion des données, leur utilisation ne garantit pas qu’ils sont conformes avec le règlement général sur la protection des données.

Source : Le Monde Informatique, article rédigé par Aoife Geary, IDG(adaptation Jean Elyan) le 25 mai 2018.